複数ライセンス割引見積
コンピュータセキュリティ ロシアのハッカーがシグナルの「リンクされたデバイス」機能を悪用して暗号化された会話を盗聴

ロシアのハッカーがシグナルの「リンクされたデバイス」機能を悪用して暗号化された会話を盗聴

コンピュータセキュリティMuraまで
翻訳内容:
日本語

サイバーセキュリティの専門家は、ロシア政府が支援する攻撃者がシグナル・メッセンジャーのアカウントを乗っ取り、プライベートな暗号化された会話をリアルタイムで盗聴するという、秘密裏にハッキング活動を行っていることを明らかにして警鐘を鳴らしている。

新たに公開された調査で、Google の一部門である Mandiant のセキュリティ研究者は、複数のロシアの APT (Advanced Persistent Threat) グループが、Signal の「リンクされたデバイス」機能 (ユーザーが複数の電話、タブレット、またはコンピューター間で安全なメッセージング アプリを同期できるようにする重要な機能) を侵害する強力な方法を開発したと警告しています。

しかし、この便利さが危険な武器に変貌しつつあります。ハッカーはリンクされたデバイスを悪用することで、Signal のエンドツーエンドの暗号化を破ることなく、目に見えない形で被害者のアカウントに侵入し、暗号化されたメッセージを監視できます。アクセスが成功すると、すべてのメッセージが攻撃者に直接コピーされ、ターゲットはそれをまったく知りません。

攻撃の仕組み: QR コード フィッシングとデバイス ハイジャック

ハッカーの手法は欺瞞に頼っています。被害者は、正規の Signal グループ招待やデバイスペアリング手順のように見える悪意のある QR コードをスキャンするように騙されます。スキャンされると、攻撃者のデバイスが「リンクされたデバイス」として被害者の Signal アカウントに密かに追加されます。

その瞬間から、送受信されたすべてのメッセージが攻撃者のシステムにリアルタイムでミラーリングされます。攻撃者は承認された参加者となり、暗号化を破ることなく密かに会話に参加できるため、Signal の強力な暗号化を回避できます。

Mandiant のレポートでは次の点が強調されています。

  • クレムリンと連携するロシアの APT グループは、軍人、政治家、ジャーナリスト、活動家など、安全な通信のために Signal を頻繁に利用する個人を標的としたフィッシング攻撃でこの手法を使用していることが確認されています。
  • これらのフィッシング ページは、Signal の公式インターフェイスを模倣したり、ウクライナ軍の砲兵誘導ツールである Kropyva などの信頼できるアプリを装ったりすることがよくあります。
  • 戦場では、ロシア軍が捕獲したデバイスを使用してシグナルアカウントを自国のサーバーにリンクさせ、情報収集を行っていることが発覚した。

目に見えないアクセス: このエクスプロイトがなぜ危険なのか

この攻撃の最も懸念される側面の 1 つは、それがいかに静かに実行されるかということです。Signal ユーザーは通常、新しいデバイスが自分のアカウントにリンクされても、目立ったアラートを受け取りません。これにより、ハッカーは検出されることなく長期にわたる監視を維持できます。

Mandiant は、この手法を「痕跡がほとんど残らない初期アクセス形式」と表現しています。「リンクされたデバイス」の設定を積極的に確認しないと、被害者は数か月、あるいはそれ以上、自分のプライベートな会話が敵対的な人物にブロードキャストされていることに気付かない可能性があります。

より広範な標的:WhatsAppとTelegramも危険にさらされている

現在注目されているのはSignalだが、マンディアントは、この種のリンクデバイス攻撃はSignalに限ったことではないと強調している。ロシアのハッカーは、WhatsAppやTelegramなど、広く使われている他のメッセージングアプリに対しても同様の戦術を展開している。

これらのアプリはすべて、複数のデバイス間での同期が可能で、そのプロセスには利便性のために QR コードが使用されることが多く、フィッシングによる悪用の対象になりやすい状況になっています。

現実世界のスパイ活動: 軍事および政治の標的

攻撃者の主な目的は、次のような価値の高い個人やグループから情報を収集することであるようです。

  • ウクライナ軍人
  • ヨーロッパの政治家
  • 調査報道ジャーナリスト
  • 人権活動家

特に高度な作戦のひとつとして、ロシアの悪名高いハッキング集団サンドワームがこの技術を戦場で活用した。彼らは敵兵の携帯電話を奪取した後、そのデバイスを敵のインフラに接続し、軍の通信をリアルタイムでスパイできるようにした。

危険にさらされている可能性がある兆候

この攻撃方法はサイレントに設計されているため、自己チェックが重要です。不正アクセスを検出して防止するための手順は次のとおりです。

  1. リンクされたデバイスを定期的に確認する: Signal アプリを開き、 「設定」→「リンクされたデバイス」に移動して、リストを注意深く調べます。見慣れないデバイスが見つかった場合は、すぐにリンクを解除してください。
  • 画面ロックを有効にする:携帯電話に長くて複雑なパスワードを使用します。これにより、誰かが一時的に物理的にアクセスしたとしても、デバイスをリンクすることが難しくなります。
  • 常に最新の状態に保つ: Signal やその他のメッセージング アプリの最新バージョンを常にインストールしてください。更新には、攻撃対象領域を減らすことができるセキュリティ強化が含まれることがよくあります。
  • QR コードに注意してください:信頼できるソースから送信されたように見えても、予期しない QR コードには疑いを持ってください。スキャンする前に、送信者に直接グループ招待を確認してください。
  • 多要素認証 (MFA) を使用する: Signal 自体はデバイスのリンクに MFA をサポートしていませんが、スマートフォンのクラウド バックアップとアカウントで 2 要素認証を有効にすると、追加の防御層を提供できます。

    • シグナルユーザーが今すべきこと

    Mandiant のレポートは、どんなアプリも悪用を免れることはできないということを思い起こさせるものであり、特に膨大なリソースを持つ国家レベルの攻撃者と対峙する場合はなおさらだ。Signal のエンドツーエンドの暗号化は依然として堅牢だが、この攻撃は人間の行動とアプリのデバイス同期の利便性を悪用して暗号化を回避している。

    機密性の高い職業に就いている場合や、監視の脅威が活発な地域に住んでいる場合は、Signal のセキュリティ設定を監査することを定期的な習慣にする必要があります。

    セキュリティ専門家は警戒が鍵だと強調している。

    • リスクの高いユーザー(軍人、ジャーナリスト、活動家)は、リンクされたデバイスを毎週チェックする必要があります。
    • 出所が確実にわかっている場合を除き、QR コードをスキャンしないでください。
    • 疑わしいメッセージやフィッシングの試みを組織の IT チームまたはサイバーセキュリティ プロバイダーに報告してください。

    静かな監視の新時代

    シグナルの「リンクされたデバイス」機能の悪用は、国家支援によるサイバースパイ活動の恐ろしい進化を示すものだ。痕跡を残したりシステムを混乱させたりするマルウェアとは異なり、この方法は静かに動作し、背景に溶け込みながら機密の会話をロシアの諜報機関に流す。

    読み込んでいます...